Como configurar certificados intermediários em um computador que está executando o IIS para autenticação de servidor

Quando um computador cliente tenta estabelecer conexões de SSL (Secure Sockets LAYER) autenticadas pelo servidor com um servidor de Internet Information Services (IIS), a cadeia de certificado de servidor é validada no computador cliente. Para essa validação de certificado concluir com êxito, os certificados intermediários na cadeia de certificado de servidor devem ser configurados corretamente no servidor. Se esses certificados são configurados incorretamente, a autenticação do servidor poderá falhar. Isso também se aplica a qualquer programa que usa SSL / TLS (Transport Layer Security) para autenticação.

Impacto

Computadores clientes não podem se conectar ao servidor que está executando o IIS. Isso ocorre porque os computadores cliente não podem autenticar os servidores que não têm certificados intermediários que estejam configurados corretamente.

Recomendação

Configure corretamente os certificados intermediários no servidor. Para obter mais informações, consulte a seção "Mais informação".

Detalhes técnicos

Validação do certificado X.509 consiste em várias fases. Essas fases incluem validação de descoberta e o caminho de caminho do certificado.

Como parte de descoberta de caminho de certificado, os certificados intermediários devem estar localizados para criar o caminho de certificado até um certificado raiz confiável. Um certificado intermediário é um certificado que é útil para determinar se um certificado, por fim, foi emitido por uma autoridade de certificação (CA) raiz válido. Esses certificados podem ser obtidos do cache ou do armazenamento de certificados no computador cliente. Os servidores também podem fornecer essas informações para o computador cliente.

Na negociação SSL, o certificado do servidor é validado no cliente. Nesse caso, o servidor fornece os certificados para o computador cliente juntamente com os certificados de emissão intermediários que o computador cliente pode usar para criar o caminho de certificado. A cadeia de certificado completa, exceto para o certificado raiz, é enviada para o computador cliente.

O IIS determina o conjunto de certificados que envia aos clientes para TLS/SSL, criando uma cadeia de certificados de um certificado de autenticação de servidor configurado no contexto do computador local. Os certificados intermediários devem ser configurados corretamente, adicionando-os para armazenamento de certificado de CA intermediário na conta do computador local no servidor.

Se um operador de servidor instala um certificado SSL juntamente com os certificados de CA relevantes de emissão e, em seguida, o operador de servidor mais tarde renova o certificado SSL, o operador de servidor deve verificar que os certificados de emissão intermediários são atualizados ao mesmo tempo.

Como configurar certificados intermediários

1. Abra o snap-in de certificados Microsoft Management Console (MMC). Para fazer isso, execute as seguintes etapas:
   1. Em um prompt de comando, digite MMC.exe .
   2. Se você não estiver executando o programa como administrador interno, você será solicitado para permissão executar o programa. Na caixa de diálogo Segurança do Windows , clique em Permitir .
   3. No menu arquivo , clique em Adicionar/remover Snap-in .
   4. Na caixa de diálogo Adicionar ou remover snap-ins , clique no snap-in de certificados na lista de snap-ins disponíveis , clique em Adicionar e, em seguida, clique em OK .
   5. Na caixa de diálogo snap-in de certificados , clique em conta de computador e, em seguida, clique em Avançar .
   6. Na caixa de diálogo Selecionar computador , clique em Concluir .
   7. Na caixa de diálogo Adicionar ou remover snap-ins , clique em OK.
2. Para adicionar um certificado intermediário, siga estas etapas:
   1. No snap-in MMC de certificados, expanda Certificates , clique Intermediário de autoridades de certificação com o botão direito do mouse, aponte para Todas as tarefas e, em seguida, clique em Importar .
   2. No Assistente de Importação de certificados , clique em Avançar .
   3. Na página arquivo a ser importado , digite o nome de arquivo do certificado que você deseja importar na caixa nome do arquivo e, em seguida, clique em Avançar .
   4. Clique em Avançar e conclua o Assistente para importação de certificados.

Para obter mais informações sobre como a função CryptoAPI cria cadeias de certificados e valida o status de revogação, visite o seguinte site da Microsoft TechNet:

Suporte

Para obter uma lista completa de telefones do serviço de suporte a clientes da Microsoft e informações sobre os custos de suporte, visite o seguinte site: Observação Em alguns casos, as taxas cobradas pelas ligações para chamadas de suporte podem ser canceladas se um profissional de suporte da Microsoft determinar que uma atualização específica resolverá o problema. Os custos normais de suporte serão aplicados a questões e problemas que não se qualificam à atualização específica em questão de suporte adicionais.

Recursos de segurança

Para obter mais informações sobre segurança em produtos da Microsoft, visite o seguinte site da Microsoft TechNet:

Aviso de isenção de responsabilidade

As informações fornecidas no artigo são fornecidas "como estão" sem garantia de qualquer tipo. Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação para uma finalidade específica. Em nenhuma circunstância Microsoft Corporation ou seus fornecedores se responsabilizará por quaisquer danos perda qualquer incluindo de direta, indireta, incidental, conseqüenciais, danos por lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido informadas da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüenciais ou incidentais portanto, a limitação acima pode não ser aplicável.